人们推荐哪些方法来缓解“Firesheep”网站应用程序的攻击?除了加密所有流向网站的流量,从可用性角度考虑,减轻这种攻击可能对Web开发人员而言是一个问题。
我们想到的一个建议是使用基于路径的cookie,并为账户操作或个性化交互发生的特定路径加密流量。然而,这会使可用性变得更加复杂,因为其余部分的网站(未加密 - 未经身份验证)不知道用户是谁。
是否有其他建议可以缓解这种攻击方式,同时保持可用性水平?
我们想到的一个建议是使用基于路径的cookie,并为账户操作或个性化交互发生的特定路径加密流量。然而,这会使可用性变得更加复杂,因为其余部分的网站(未加密 - 未经身份验证)不知道用户是谁。
是否有其他建议可以缓解这种攻击方式,同时保持可用性水平?